From pluknet на nginx.com Wed Feb 14 16:59:45 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 14 Feb 2024 20:59:45 +0400 Subject: [nginx-ru-announce] nginx-1.25.4 Message-ID: <3102038A-AB25-4C3C-AFF5-1DC808BF9828@nginx.com> Изменения в nginx 1.25.4 14.02.2024 *) Безопасность: при использовании HTTP/3 в рабочем процессе мог произойти segmentation fault во время обработки специально созданной QUIC-сессии (CVE-2024-24989, CVE-2024-24990). *) Исправление: соединения с незавершенными AIO-операциями могли закрываться преждевременно во время плавного завершения старых рабочих процессов. *) Исправление: теперь nginx не пишет в лог сообщения об утечке сокетов, если во время плавного завершения старых рабочих процессов было запрошено быстрое завершение. *) Исправление: при использовании AIO в подзапросе могла происходить ошибка на сокете, утечка сокетов, либо segmentation fault в рабочем процессе (при SSL-проксировании). *) Исправление: в рабочем процессе мог произойти segmentation fault, если использовалось SSL-проксирование и директива image_filter, а ошибки с кодом 415 перенаправлялись с помощью директивы error_page. *) Исправления и улучшения в HTTP/3. -- Sergey Kandaurov From pluknet на nginx.com Wed Feb 14 17:00:16 2024 From: pluknet на nginx.com (Sergey Kandaurov) Date: Wed, 14 Feb 2024 21:00:16 +0400 Subject: [nginx-ru-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990) Message-ID: В реализации HTTP/3 в nginx были обнаружены две проблемы, которые позволяют атакующему с помощью специально созданной QUIC-сессии вызвать падение рабочего процесса (CVE-2024-24989, CVE-2024-24990), а также потенциально другие последствия (CVE-2024-24990). Проблеме подвержен nginx, собранный с модулем ngx_http_v3_module (по умолчанию не собирается), если в конфигурационном файле используется параметр quic директивы listen. Проблеме подвержен nginx 1.25.0 - 1.25.3. Проблема исправлена в nginx 1.25.4. -- Sergey Kandaurov From arut на nginx.com Tue Apr 16 16:44:48 2024 From: arut на nginx.com (Roman Arutyunyan) Date: Tue, 16 Apr 2024 20:44:48 +0400 Subject: [nginx-ru-announce] nginx-1.25.5 Message-ID: <2DA5F9E9-ACF9-437F-96B8-1AE027F2E724@nginx.com> Изменения в nginx 1.25.5 16.04.2024 *) Добавление: виртуальные сервера в модуле stream. *) Добавление: модуль ngx_stream_pass_module. *) Добавление: параметры deferred, accept_filter и setfib директивы listen в модуле stream. *) Добавление: определение размера строки кеша процессора для некоторых архитектур. Спасибо Piotr Sikora. *) Добавление: поддержка Homebrew на Apple Silicon. Спасибо Piotr Sikora. *) Исправление: улучшения и исправления кросс-компиляции для Windows. Спасибо Piotr Sikora. *) Исправление: неожиданное закрытие соединения при использовании 0-RTT в QUIC. Спасибо Владимиру Хомутову. ---- Roman Arutyunyan arut на nginx.com ----------- следующая часть ----------- Вложение в формате HTML было извлечено… URL: From arut на nginx.com Tue Apr 23 17:50:48 2024 From: arut на nginx.com (Roman Arutyunyan) Date: Tue, 23 Apr 2024 21:50:48 +0400 Subject: [nginx-ru-announce] nginx-1.26.0 Message-ID: Изменения в nginx 1.26.0 23.04.2024 *) Стабильная ветка 1.26.x. ---- Roman Arutyunyan arut на nginx.com